UFW (Uncomplicated Firewall) 是一款为 Ubuntu 和 Debian 系统设计的易于使用的防火墙管理工具,它提供了一个简单的命令行界面来配置 netfilter(iptables)防火墙规则。
安装与启用 UFW
在大多数基于 Ubuntu 和 Debian 的系统中,UFW 已经预装。如果没有安装,通过以下命令安装:
Bash1sudo apt-get update2sudo apt-get install ufw
检查 UFW 状态
在开始配置之前,检查 UFW 当前的状态:
Bash1sudo ufw status
允许服务
UFW 允许通过服务名称来开启端口,例如,允许 SSH(默认端口22)和 HTTP(端口80)流量:
Bash1sudo ufw allow ssh2sudo ufw allow http
允许/拒绝特定端口
直接指定端口号来允许或拒绝流量,例如,允许从任何地方到本地的 TCP 端口 22(SSH)的连接:
Bash1sudo ufw allow 22/tcp
拒绝所有到 UDP 端口 53(DNS)的流量:
Bash1sudo ufw deny 53/udp
删除规则
如果你不再需要某个规则,可删除它,例如删除之前允许的 SSH 规则:
Bash1sudo ufw delete allow ssh
开启/关闭 UFW
在确认规则无误后,可启用 UFW:
Bash1sudo ufw enable
如果需要临时关闭防火墙(例如,进行故障排查):
Bash1sudo ufw disable
查看规则
查看已设置的所有规则:
Bash1sudo ufw status numbered
这个命令会显示每个规则的编号,便于管理和删除。
自定义规则
创建更复杂的规则,比如允许来自特定IP地址的连接:
Bash1sudo ufw allow from 192.168.1.100 to any port 22
日志与调试
启用 UFW 日志记录,以便查看防火墙的拒绝和接受记录:
Bash1sudo ufw logging on
查看 UFW 日志,通常位于 /var/log/ufw.log,使用 less 或 tail 命令查看:
Bash1sudo less /var/log/ufw.log
或
Bash1sudo tail -f /var/log/ufw.log
默认策略
- 设置默认策略:UFW允许设置默认的入站和出站策略。这决定了未明确允许或拒绝的流量行为。
- sudo ufw default deny incoming # 默认拒绝所有入站流量
- sudo ufw default allow outgoing # 默认允许所有出站流量
端口范围与协议
- 允许特定端口范围:定义一个端口范围而不是单个端口。
- sudo ufw allow 1000:2000/TCP # 允许1000到2000之间的TCP端口
- 针对特定协议:明确指定协议类型,例如TCP或UDP。
- sudo ufw allow 53/udp # 允许UDP 53端口(DNS)
时间限定规则
- 基于时间的规则:设置规则只在特定时间段生效。首先,创建时间规则:
- sudo ufw time allow 8:00-20:00 weekdays my_office_hours
- 然后,在规则中引用这个时间命名:
- sudo ufw allow from 192.168.1.0/24 to any port 22 proto tcp time my_office_hours
应用程序规则
- 通过应用程序名称管理规则:UFW基于已知应用程序配置规则,无需手动指定端口。
- sudo ufw allow OpenSSH # 允许SSH访问
- sudo ufw deny apache2 # 拒绝Apache HTTP服务器的访问
丰富的日志和审计
- 日志级别:调整日志记录的详细程度。
- Bash1sudo ufw logging high # 设置日志级别为高
- 查看日志:利用日志来追踪和审计网络活动。
- sudo journalctl -u ufw.service –since "1 hour ago"
高级策略与策略导入/导出
- 导入/导出规则:将规则导出到文件,便于备份或在其他系统上导入。
- sudo ufw —export > my_rules.backup 2sudo ufw –import < my_rules.backup
- 策略优先级和复杂规则:通过规则编号和插入/删除命令,精细控制规则的执行顺序和优先级,以满足复杂的网络策略需求。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。